Новости информационной безопасности

unbreakable

Модератор
Google приостановила интеграцию устройств Xiaomi со своими сервисами
При подключении к Google Home Hub камеры видеонаблюдения Xiaomi позволяют следить за чужими домами.
Компания Google приостановила интеграцию устройств Xiaomi со своими сервисами и ПО после сообщений о том, что камеры видеонаблюдения Xiaomi позволяют следить за чужими домами.

Как сообщил пользователь Reddit под псевдонимом /r/Dio-V, при попытке трансляции изображения со смарт-камеры Xiaomi Mijia на Google Home Hub он увидел изображения с камер видеонаблюдения в чужих домах. Xiaomi Mijia могут подключаться к учетным записям Google и использоваться с сервисами Google через приложение Xiaomi Mi Home.

В качестве подтверждения проблемы /r/Dio-V опубликовал короткое видео, передаваемое с камеры на Google Home Hub. Как следует из видео, при попытке осуществить трансляцию экран Home Hub дает сбой, а затем появляются прерывистые изображения с камер в чужих домах.

Как сообщила представительница Xiaomi изданию Business Insider, проблема уже исправлена, однако она может затрагивать порядка 1 тыс. пользователей. По ее словам, причиной возникновения проблемы стало обновление кеша 26 декабря 2019 года, призванное «повысить качество передаваемого камерой видео».

Сбой происходит при определенных условиях, которые встречаются очень редко, отмечают в Xiaomi. В случае с/r/Dio-V проблема возникла в процессе интеграции камеры Mi Home Security Camera Basic 1080p с экраном Google Home Hub при плохом сигнале сети. При подключении камеры к приложению Xiaomi Mi Home сбой не происходит.
Google приостановила интеграцию устройств Xiaomi со своими сервисами
 

unbreakable

Модератор
МВБ США предупредило о возможных кибератаках со стороны Ирана
Иран как минимум способен к проведению атак, которые могут временно вывести из строя критическую инфраструктуру в США, считают в ведомстве.
Министерство внутренней безопасности США выпустило предупреждение о возможных актах терроризма и кибернетических атаках со стороны Ирана в ответ на убийство главы спецподразделения «Аль-Кудс» Корпуса стражей исламской революции генерала Касема Сулеймани в результате авиаудара США по району столицы Ирака Багдада в ночь на 3 января.
Как указывается в предупреждении, возможные сценарии атак могут включать “разведывательные действия и планирование нападений на объекты, а также кибератаки на различные базирующиеся в США цели”.
“Иран поддерживает активную киберпрограмму и может осуществить кибератаки против Соединенных Штатов. Иран как минимум способен к проведению атак, которые могут временно вывести из строя критическую инфраструктуру в США”, - считают в ведомстве.
Отметим, спустя несколько часов после того, как американские власти предупредили о возможных кибератаках со стороны Ирана, один из правительственных сайтов США подвергся взлому предположительно иранскими хакерами. Речь идет о портале Федеральной библиотечной программы (Federal Depository Library Program, FDLP), где в открытом доступе публикуется документация. При попытке посетить сайт на экране отображалось сообщение от хакеров, называющих себя “Группа кибербезопасности Ирана”, гласившее, что взлом является лишь “небольшой частью” кибервозможностей Ирана. Удалось ли злоумышленникам скомпрометировать правительственные данные, не сообщается.
МВБ США предупредило о возможных кибератаках со стороны Ирана
 

unbreakable

Модератор
Google внесла изменения в политики Project Zero
Нововведения призваны защитить пользователей ПО от эксплуатации уязвимостей до их исправления.
Программа раскрытия уязвимостей Project Zero от компании Google нацелена на то, чтобы стимулировать производителей ПО к скорейшему выпуску исправлений, однако далеко не все проходит в соответствии с планом. Раскрытие уязвимостей до выхода исправлений, малоэффективные патчи на скорую руку и т.п. уже стали обычным явлением. В связи с этим Google решила пересмотреть политики Project Zero с целью поощрения как более тщательной подготовки исправлений, так и повсеместного их применения.

Отныне Google будет ждать 90 дней с момента, когда стало известно об уязвимости, даже если она была исправлена задолго до дедлайна. Выпустив исправление раньше, разработчики уязвимого ПО сохранят себе больше времени на его распространение и смогут убедиться, что патч эффективно устраняет причину проблемы.

Еще одно изменение компания внесла в политики Project Zero касательно неполноценных патчей. Теперь в случае, если выпущенное разработчиком исправление оказалось неэффективным, ему сообщат об этом, а информация о неэффективности патча будет добавлена в существующий отчет об уязвимости. В некоторых случаях неэффективность исправления будет рассматриваться как отдельная проблема, которая должна быть исправлена в установленные сроки.

Google намерена тестировать нововведения в течение всего 2020 года, и в случае их успеха примет окончательно.
Google внесла изменения в политики Project Zero
 

unbreakable

Модератор
Google удалила более 1700 приложений, зараженных вредоносом Bread
Злоумышленники активно эксплуатировали уязвимость в Google Play, обходя системы защиты.
Специалисты из компании Google рассказали о своей успешной операции по борьбе с вредоносным ПО Bread, также известным как Joker. За последние три года компания удалила более 1700 приложений в Play Store, которые были заражены различными версиями данного вредоноса.

В то время как большинство операторов вредоносных программ сдаются, как только Google обнаруживает их приложения, операторы Bread продолжили свою деятельность. Уже более трех лет злоумышленники каждую неделю выпускают новые версии своих программ.

«В какой-то момент преступники использовали почти каждую технику маскировки и обхода защиты, пытаясь остаться незамеченными. В разное время мы обнаруживали три или более активных варианта вредоноса, использующих разные подходы или нацеленных для разных носителей. В пиковые периоды активности преступников мы видели до 23 различных приложений данного семейства в Google Play за один день», — сообщила Google в своем блоге.

По словам специалистов, злоумышленники активно эксплуатировали уязвимость в Google Play с целью обойти защитные механизмы. Тактика под названием «versioning» позволяла загружать чистую версии приложения, а уже потом добавлять вредоносные функций путем обновления программы.

Преступники также часто использовали видео YouTube для направления пользователей на вредоносные приложения, пытаясь заразить как можно больше устройств. Операторы вредоноса также использовали поддельные обзоры для повышения популярности приложений и сокрытия негативных отзывов.

Первоначальные версии вредоноса Bread были ориентированы на мошенничество с использованием SMS-сообщений, когда зараженные устройства использовались для оплаты продуктов или услуг путем отправки SMS-сообщения на платный номер.

Когда Google ввела более строгие разрешения для Android-приложений, требующие доступ к SMS на устройстве, преступники сменили тактику и переключились на мошенничество с WAP, в рамках которого зараженные устройства использовались для подключения к платежным страницам через WAP-соединение.
Google удалила более 1700 приложений, зараженных вредоносом Bread
 

unbreakable

Модератор
Пользователи Windows 7 не получат патч для критической уязвимости в IE
Исправление для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку.
Спустя всего несколько дней после окончания официальной поддержки Windows 7 стало известно о критической уязвимости в Internet Explorer, и возник вопрос, получит ли устаревшая ОС исправление.

Как сообщает компания Microsoft, патч для уязвимости получат лишь пользователи Windows 7, заплатившие за расширенную поддержку , а пользователи домашней версии ОС останутся без обновления.

«Теперь, когда поддержка прекращена, пользователи без платной расширенной поддержки больше не будут получать обновления безопасности. Мы по-прежнему стремимся помогать нашим клиентам оставаться в безопасности по мере того, как они модернизируют свои системы и переходят на Windows 10. Мы понимаем, что, хотя мы и предоставляем достаточно времени для апгрейда, некоторым клиентам его все равно не хватает, поэтому мы предлагаем им несколько вариантов. Сервисы наподобие Microsoft FastTrack помогают ускорить миграцию, также можно воспользоваться службой “Виртуальный рабочий стол Windows” (включает трехлетнюю расширенную поддержку обновлений безопасности) или оформить платную расширенную поддержку. После даты окончания срока поддержки мы продолжим работать с нашими клиентами согласно наиболее подходящему курсу», - сообщили представители Microsoft порталу Beta News.

Напомним , 14 января нынешнего года Microsoft прекратила официальную поддержку Windows 7. Это значит, что компания больше не будет предоставлять техническую поддержку, обновления программного обеспечения, а также обновления безопасности и исправления для уязвимостей. 17 января стало известно об уязвимости нулевого дня в Internet Explorer (CVE-2020-0674). Уязвимость позволяет удаленно выполнить произвольный код на системе и уже эксплуатируется киберпреступниками в реальных атаках.

В настоящее время для проблемы выпущен только временный микропатч, доступный на платформе 0patch. Как уверяетupload_2020-1-26_20-44-2.pngадминистрация сервиса, в течение последующих трех лет она будет выпускать микропатчи для уязвимостей в Windows 7, так что пользователи не будут брошены на произвол судьбы.
Пользователи Windows 7 не получат патч для критической уязвимости в IE
 

unbreakable

Модератор
Некоторые компании даже не знают, что на них напали

Не все кибератаки видны, а некоторые компании не знают о том, что они подвергаются атакам, и не имеют представления о последствиях такой атаки для их организации, согласно новому исследованию.

Компании, которые рано или поздно подвергнутся атакам в Интернете, рано или поздно наверняка станут их мишенью. А когда происходит настоящая кибератака, то это никогда не похоже на кино, на расстоянии нет ни визуальных индикаторов, ни сигналов тревоги. В большинстве случаев организации замечают проблемы с интернет-трафиком, или операционный центр безопасности (SOC) определяет, что бизнес подвергается атаке.

Неудивительно, что в некоторых ситуациях компании не будут знать, что на них напали. В худшем случае нарушается инфраструктура организации, но злоумышленники остаются скрытыми. В зависимости от своих намерений, они могут залечь на дно и подождать подходящего момента для нанесения удара или немедленно начать фильтрацию конфиденциальных данных.

Недавний опрос, проведенный Radware среди более чем 550 респондентов из самых разных отраслей по всему миру, показал, что 22% из них даже не знают о предстоящей атаке. Эта проблема более широко известна как проблема видимости, и обычно она встречается в организациях, которые не отслеживают свой внутренний трафик данных.

Например, Bitdefender предлагает решение под названием Network Traffic Security Analytics (NTSA), которое предназначено для решения именно этой проблемы. Используя комбинацию машинного обучения и анализа поведения, SOC контролирует инфраструктуру и делает определения о проникновении, если конечные точки не срабатывают.

Даже если в организации есть все средства защиты для защиты устройств компании, все равно сложно учитывать, что люди приносят свои незащищенные устройства (BYOD — принести собственное устройство) или устройства Internet of Things (IoT), которые не появляются в качестве традиционных конечных точек. В сочетании с тем, что многие компании предпочитают перемещать свои операции в облако, количество возможных векторов атак значительно возрастает.

Опрос выявил ряд других тревожных аспектов проблемы видимости. Например, 27% компаний, подвергшихся атаке, понятия не имеют, чего хотят хакеры, а 13% не имеют представления о том, как кибератака повлияет на их бизнес.

Наконец, 30% респондентов не отслеживают трафик с востока на запад, что является термином, обозначающим трафик внутри инфраструктуры. Легко думать, что атаки исходят извне, но это не всегда так. Такие решения, как NTSA, также могут обнаруживать инсайдерские угрозы, которые могут быть так же просты, как и доступ сотрудника к ресурсам, которые ему не следует, и перейти к промышленному шпионажу.

Автор: Silviu Stahie
Некоторые компании даже не знают, что на них напали | Bitdefender Россия. Антивирусы для дома и бизнеса.
 

unbreakable

Модератор
Обзор инцидентов безопасности с 27 января по 2 февраля 2020 года
Коротко о главных событиях прошедшей недели.
Минувшая неделя оказалась весьма интересной с точки зрения кибербезопасности. В частности, появилась информация о том, что компания Avast продает данные своих пользователей крупнейшим в мире компаниям. Согласно документам принадлежащей Avast компании Jumpshot, установленное на компьютерах пользователей антивирусное ПО Avast собирало данные, а Jumpshot «упаковывала» их в различные продукты и продавала крупнейшим мировым корпорациям, в том числе Google и Microsoft.

После широкого общественного резонанса, вызванного известием, Avast сообщила о намерениизакрыть своему дочернему предприятию доступ к пользовательским данным, а в дальнейшем полностью ликвидировать сервис.

В середине недели представители ООН сообщили о сложной кибератаке на офисы организации в Вене и Женеве, произошедшей в минувшем году. В результате атаки злоумышленникам удалось скомпрометировать компоненты ключевой инфраструктуры посредствомэксплуатации известной уязвимости в программном обеспечении Microsoft Sharepoint.

На крупнейшем кардинговом форуме Joker's Stash была выставлена на продажу массивная база данных (BIGBADABOOM-III), содержащая платежную информацию 30 млн американцев и более 1 млн иностранцев. Данные были похищены в результате взлома американской сети магазинов и автозаправочных станций Wawa. Инцидент затронул все 860 магазинов Wawa и на данный момент считается одной из крупнейших утечек платежных данных не только в 2019 году, но и за все время.

Действующие в интересах турецкого правительства киберпреступники организовалимасштабные вредоносные кампании, направленные против правительств и других организаций в Европе и на Ближнем Востоке. Атакам подверглись более 30 организаций, включая правительственные министерства, посольства и службы безопасности, а также компании и другие предприятия. Атаки включали перехват интернет-трафика, потенциально позволяя преступникам получить несанкционированный доступ к сетям государственных органов и других организаций.

Японский гигант в сфере информационных технологий и производства электроники, компания NEC подверглась многочисленным хакерским атакам, в результате которых было похищено почти 27 тыс. файлов, включая документы, связанные с контрактами Минобороны страны. Агентство по закупкам, технологиям и логистике, работающее на министерство обороны, заявило об отсутствии критичного ущерба.

Производитель электроники Electronic Warfare Associates (EWA), являющийся подрядчиком Министерства обороны США (Department of Defense), стал жертвой атаки с использованием вымогательского ПО Ryuk. Среди компьютерных систем, данные которых были зашифрованы, также были web-серверы компании. Кроме того, киберпреступники инфицировали ряд web-сайтов EWA. Какая часть внутренней сети компании оказалась зашифрованной, не сообщается.
Обзор инцидентов безопасности с 27 января по 2 февраля 2020 года
 

unbreakable

Модератор
Microsoft исправила 0Day-уязвимость в IE
В общей сложности Microsoft устранила 99 уязвимостей в различных продуктах.
Компания Microsoft выпустила плановые обновления безопасности для своих продуктов, устраняющие почти сотню уязвимостей, в том числе уязвимость нулевого дня в браузере Internet Explorer, предположительно эксплуатируемую APT-группировкой DarkHotel.

О данной уязвимости (CVE-2020-0674) стало известно в середине января текущего года. Тогда компания предложила ряд мер по предотвращению ее эксплуатации и пообещала выпустить соответствующие патчи в рамках планового «вторника исправлений» в феврале.

Проблема связана с повреждением памяти в скриптовом движке в составе версий Internet Explorer 9, 10 и 11. В частности, уязвимость существует в библиотеке jscript.dll, обеспечивающей совместимость с устаревшими версиями JScript. Уязвимость может быть проэксплуатирована для удаленного выполнения кода в контексте целевого пользователя. Для этого атакующему необходимо убедить жертву посетить вредоносный сайт.

В общей сложности Microsoft устранила 99 уязвимостей в различных продуктах, включая ряд RCE-уязвимостей в Windows Shell, SQL Server, клиенте удаленного рабочего стола и пакете Microsoft Office. С полным списком исправленных проблем можно ознакомиться здесь.
Microsoft исправила 0Day-уязвимость в IE
 

unbreakable

Модератор
Positive Technologies: 82% уязвимостей веб-приложений содержится в исходном коде
Получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент или атаковать его посетителей.
Эксперты Positive Technologies проанализировалиupload_2020-2-13_20-58-34.pngсостояние защищенности веб-приложений [1] и выяснили, что в 9 случаях из 10 злоумышленники могут атаковать посетителей сайта, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев — атаковать внутреннюю сеть компании. Кроме того, получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент (выполнять дефейс) или даже атаковать его посетителей, например заражая их компьютеры ВПО.

По данным исследования, в 2019 году существенно (на 17 процентных пунктов по сравнению с 2018 годом) снизилась доля веб-приложений, содержащих уязвимости высокого уровня риска. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с прошлым годом почти в полтора раза. Несмотря на это, общий уровень защищенности веб-приложений оценивается как низкий.

82% всех выявленных уязвимостей обусловлены ошибками в коде. По словам экспертов, даже в случае продуктивных систем в каждой второй они находили уязвимости высокого уровня риска. Высокий процент ошибок в исходном коде свидетельствует о том, что код не проходит проверку на наличие уязвимостей на промежуточных этапах его создания, а также что разработчики по-прежнему уделяют недостаточно внимания безопасности, делая ставку на функциональность приложения.

В 45% исследованных веб-приложений эксперты обнаружили недостатки аутентификации (Broken Authentication); многие уязвимости из этой категории критически опасны.

«Большинство атак на аутентификацию связано с тем, что пользователи устанавливают только пароль, — считает Ольга Зиненко, аналитик компании Positive Technologies. — Отсутствие второго фактора делает атаки на аутентификацию простыми в реализации. Эта проблема усугубляется тем, что пользователи стараются придумать пароли попроще. Обход ограничений доступа обычно приводит к несанкционированному разглашению, изменению или уничтожению данных».

По данным экспертов, 90% веб-приложений подвержены угрозе атак на клиентов. Как и в предыдущие годы, существенную роль в этом играет уязвимость «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). Примерами атак на пользователей могут быть заражение компьютеров вредоносным ПО (доля этого метода атак на частных лиц в третьем квартале годаувеличилось до 62%upload_2020-2-13_20-58-34.pngпротив 50% во втором), фишинговые атаки для получения учетных или других важных данных, а также выполнение действий от имени пользователя с помощью обманной техники clickjacking, в частности для накрутки лайков и просмотров.

[1] Были проанализированы 38 полнофункциональных веб-приложений IT-компаний (29% общего числа исследованных приложений), финансовых организаций (26%), организаций сферы телекоммуникаций (21%), промышленного сектора (16%) и госучреждений (8%).
Positive Technologies: 82% уязвимостей веб-приложений содержится в исходном коде
 

unbreakable

Модератор
Новые ИБ-решения недели: 14 февраля 2020 года
Краткий обзор новых предложений на рынке информационной безопасности.
Компания Acunetix представила новую версию автоматизированного сканера уязвимостей -Acunetix 13. В числе нововведений: улучшенный пользовательский интерфейс, реализация движка SmartScan, возможность обнаружения вредоносного ПО, возможность всестороннего сканирования сетей и пр.

Компания DigiCert объявила о выходе PKI-инструментов I oT Device Manager и Enterprise PKI Manager для быстрого и гибкого развертывания инфраструктуры открытых ключей (ИОК). В отличие от стандартных PKI-приложений, оба решения используют контейнерную, независимую от облака реализацию, что обеспечивает быстрое и гибкое локальное развертывание. Инструменты работают на платформе DigiCert ONE, предоставляющей централизованное управление сертификатами для различных моделей развертывания.

Radiflow представила Radiflow iRISK - сервис для анализа промышленных рисков в OT-средах. Сервис предлагает комплексную оценку уязвимостей, включая приоритетность рисков и рекомендации по их устранению. iRISK генерирует ориентированный на риски отчет, включающий подробности о свойствах сети, уровни риска для устройств и ссылок, потенциальные возможности атак на обнаруженные уязвимости и пр.

Представлена новая версия решения Xton Access Manager для обеспечения контроля и безопасности привилегированных учетных записей и систем. В свежем релизе реализована поддержка RDP, SSH и web-прокси, что позволяет пользователям создавать защищенные доверенные удаленные сессии с полной их записью и мониторингом нажатий клавиш. Это упрощает компаниям реализацию и соблюдение требований PAM, таких как аудит, разрешения и смена паролей без нарушения существующих IT-процессов.

NCP engineering подготовила к выходу новую версию NCP Secure Enterprise Management Server - центрального компонента технологи NCP Next Generation Network Access, играющей роль единого центра администрирования. С помощью технологии компании могут управлять сетями удаленного доступа из центральной локации, не полагаясь на многочисленные изолированные приложения.
Новые ИБ-решения недели: 14 февраля 2020 года
 

unbreakable

Модератор
«Неудаляемый» троян Xhelper вновь заражает Android-устройства
Вредонос неизвестным образом использует магазин Google Play для повторного заражения мобильных устройств.
Вредоносное ПО Xhelper продолжаетupload_2020-2-16_14-47-31.pngзаражать Android-устройства и способно возвращаться даже после удаления или сброса настроек до заводских.

Впервые исследователи обнаружили Xhelper в марте 2019 года. На тот момент функционал вредоносного ПО был относительно простым, и его основной функцией было посещение рекламных страниц с целью монетизации. С тех пор большинство приложений безопасности для Android-устройств добавили функцию обнаружения xHelper, но оказалось, что избавиться от вредоноса не так просто.

По словам специалистов из компании Malwabytes, xHelper распространяется не в составе предварительно установленного вредоносного ПО, содержащегося в прошивке, а использует магазин Google Play для повторного заражения после полной перезагрузки устройства или очистки с помощью антивирусного ПО. Как предполагают эксперты, вредонос только создает видимость того, что источником заражения является Google Play, тогда как на самом деле установка осуществляется из другого места.

В ходе анализа файлов, хранящихся на скомпрометированном Android-смартфоне одной из жертв, было обнаружено, что троянский загрузчик был встроен в APK, расположенный в каталоге com.mufc.umbtts.

Специалистам пока не удалось выяснить, каким образом Google Play используется для инфицирования. Пользователям рекомендуется отключить магазин Google Play, а затем запустить сканирование устройства антивирусной программой. В противном случае вредоносное ПО продолжит возвращаться, несмотря на удаление с устройства.
«Неудаляемый» троян Xhelper вновь заражает Android-устройства
 

unbreakable

Модератор
Периферийные устройства подвергают пользователей Windows и Linux риску атак
Злоумышленники могут использовать неподписанное ПО для атак на ноутбуки и серверы под управлением Windows и Linux.




Специалисты из компании Eclypsium обнаружилиupload_2020-2-18_19-36-12.pngнеподписанные прошивки в ряде компьютерных периферийных устройств, которые могут быть использованы злоумышленниками для осуществления атак на ноутбуки и серверы под управлением Windows и Linux. Эксперты выявили неподписанные прошивки для Wi-Fi-адаптеров, USB-хабов, тачпадов и камер в компьютерах от Dell, HP, Lenovo и других крупных производителей.

Злоумышленники могут использовать уязвимую прошивку несколькими способами, в зависимости от скомпрометированного устройства. В случае сетевых адаптеров преступники могут захватить или изменить сетевой трафик, в то время как PCI-устройства позволят похитить информацию и даже перехватить контроль над системой с помощью DMA-атак (Direct Memory Access). В других случаях полный контроль над целевой камерой предоставляет доступ к видео и аудио данным, а эксплуатация прошивки подключенного к компьютеру жесткого диска позволяет загрузить вредоносные инструменты и выполнить произвольный код.

«Если компонент не требует подписанного встроенного программного обеспечения, злоумышленник может легко получить контроль над устройством без необходимости специальных привилегий», — отметили исследователи.

В числе уязвимого ПО эксперты отметили прошивку для Touchpad и TrackPoint в ноутбуках Lenovo ThinkPad X1 Carbon 6th Gen, камерах HP Wide Vision FHD в ноутбуках HP Specter x360 Convertible 13-ap0xxx, Wi-Fi-адаптера в ноутбуках Dell XPS 15 9560 и USB-хабах для Linux.

Представители Lenovo сообщили, что «производитель не может предоставить исправления для данной проблемы в текущем поколении продукта». HP в свою очередь «работает над обновлением прошивки, и в будущих поколениях камер будут подписанные прошивки».

В то время как Apple macOS автоматически проверяет пакеты драйверов и прошивки на наличие подписей при каждой загрузке с целью предотвратить потенциальные атаки, Windows и Linux выполняют проверку подписи только при первоначальной установке программ.

«Во многих случаях основная проблема в устройстве или линейке продуктов не может быть решена вообще, а это означает, что все устройства в этой линейке продуктов будут оставаться уязвимыми в течение всего срока их службы», — отметили эксперты.
Периферийные устройства подвергают пользователей Windows и Linux риску атак
 

unbreakable

Модератор
Путин обязал ФСБ уделить особое внимание защите IT-систем органов власти
Глава государства поручил силовикам расширять возможности госсистемы обнаружения и предупреждения кибератак.

На коллегии ФСБ по подведению итогов работы за 2019 год Владимир Путин поручил службе уделить особое внимание защите компьютерных систем органов власти, государственных электронных сервисов, операторов связи, банковских организаций и крупных российских компаний от кибератак.

«Сейчас в ряде стран уже созданы специальные центры для проведения таких акций, разрабатываются стратегии превентивного применения киберсредств. По мере бурного развития цифровых технологий мощность такого информационного оружия (кибератак), безусловно, будет только нарастать. Нам нужно это не просто учитывать, а соответствующим образом, с опережением строить свою работу по защите интересов России», - приводит слова президента информагентство «Интерфакс».

Глава государства поручил силовикам «расширять возможности государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак», а также обеспечить безопасность при развитии технологий связи пятого поколения и спутниковых коммуникаций.

Путин обязал ФСБ обеспечить защиту информации о «новейших системах вооружений, техники, перспективных военных и промышленных технологиях, а также инновационных, научных разработках».

Еще одна задача – укрепление авторитета России как надежного партнера в сфере информационной безопасности. По словам главы государства, для этого нужно развивать сотрудничество в сфере ИБ другими странами и организациями.

Помимо прочего, глава государства отметил востребованность ресурсов «международного банка данных по противодействию терроризму, к которому в прошлом году подключились еще семь спецслужб иностранных государств и один специализированный орган международной организации».
Путин обязал ФСБ уделить особое внимание защите IT-систем органов власти
 

unbreakable

Модератор
Новые ИБ-решения недели: 21 февраля 2020 года
Краткий обзор новых предложений на рынке информационной безопасности.


Компания RSA представила решение RSA Archer SaaSupload_2020-2-21_22-12-22.pngдля управления киберрисками на предприятии. Платформа позволяет автоматизировать бизнес-процессы и оптимизировать рабочие процессы, а также легко интегрируется с внешними системами для анализа данных. RSA Archer SaaS развертывается локально, либо по модели «ПО как услуга» (SaaS).

Farsight Security, производитель платформы для обмена данными о киберугрозах Security Information Exchange (SIE)upload_2020-2-21_22-12-22.png, добавил новые возможности, улучшающие предотвращение, выявление и реагирование на новые киберугрозы. В числе нововведений: функция Newly active domains, позволяющая отслеживать домены, возобновляющие активность после периода бездействия (10 дней или более); простой в использовании и легко интегрируемый метод доступа к данным Newly Observed Domains, DNS Changes и Newly Active Domains, а также информации из сторонних источников.

Компания Tufin объявила о доступности сервиса Tufin SecureCloudupload_2020-2-21_22-12-22.pngдля автоматизации политик безопасности для предприятий. Сервис обеспечивает единое управления политиками безопасности, видимость и контроль состояния безопасности облачных и гибридных облачных сред.

Компания ZeroFOX расширила возможности своей ИИ-платформы для защиты электронной переписки. В ZeroFOX Advanced Email Protectionupload_2020-2-21_22-12-22.pngреализована функция защиты Business Email Compromise Protection для Google G Suite и Microsoft Office 365 для выявления BEC-атак. Платформа также включает функцию защиты Email Abuse and Phishing Protection, которая отслеживает случаи злоупотребления названиями брендов, фишинговые атаки и кампании, направленные на клиентов и сотрудников предприятий.

Devo Security Operationsupload_2020-2-21_22-12-22.png– решение, сочетающее критически важные возможности безопасности с автоматическим обогащением, анализом угроз, совместной работой с сообществом, центральным хранилищем доказательств и оптимизированным рабочим процессом аналитика. Решение повышает эффективность анализа безопасности и помогает преобразовать операционный центр безопасности (SOC).

Компания eSentire анонсировала релиз esCLOUDupload_2020-2-21_22-12-22.png– решения, предлагающего непрерывный мониторинг облачных сред клиента с целью выявления неправильных конфигураций и уязвимостей, способных привести к утечке и компрометации данных. ЕsCLOUD предоставляет адаптивные, управляемые сервисы безопасности, основанные на запатентованных технологиях обнаружения и реагирования eSentire.
Новые ИБ-решения недели: 21 февраля 2020 года
 

unbreakable

Модератор
Преступники атаковали крупнейшую в Хорватии нефтяную компанию
В ходе кибератаки преступники, предположительно, использовали вымогательское ПО CLOP.


Киберпреступники атаковали крупнейшую в Хорватии нефтяную компанию INA Group. В ходе кибератаки злоумышленники, предположительно, использовали вымогательское ПО CLOP, зашифровавшее данные некоторых внутренних серверов компании, сообщило издание ZDNet.

Данный инцидент не затронул поставки бензина клиентам и не повлиял на работоспособность платежных систем компании. Однако в результате атаки компания не смогла выставлять счета-фактуры, фиксировать использование карт лояльности, выпускать новые мобильные ваучеры и новые электронные виньетки, а также принимать от клиентов оплату за топливо.

Хотя INA Group не раскрыла подробностей о том, какое вредоносное ПО использовалось в атаках, предполагается, что речь идет о вымогательском ПО CLOP. О причастности вымогателя свидетельствует несколько факторов. В частности, за несколько часов до того, как INA Group опубликовала заявление об инциденте, аналитик из компании Sophos сообщилupload_2020-2-23_22-36-42.pngо начале активности нового C&C-сервера, используемого в кибератаках CLOP. Кроме того, на этой неделе исследователи безопасности обнаружилиupload_2020-2-23_22-36-42.pngновые версии вымогателя CLOP на сервисе VirusTotal.

Напомним, на этой неделе SecurityLab писал о кибер атак е на американского оператора газопровода, в результате которой его компьютерные сети были заражены вымогательским ПО. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть (Operational Technology).
Преступники атаковали крупнейшую в Хорватии нефтяную компанию
 

unbreakable

Модератор
Воронежец воровал данные пользователей Sony PlayStation
Молодому человеку грозит наказание до 5 лет лишения свободы.


Прокуратура Центрального района Воронежа утвердила обвинительное заключение по уголовному делу в отношении 22-летнего местного жителя. Он обвиняется во взломе учетных записей Sony PlayStation и создании поддельной страницы сервиса, сообщилиupload_2020-2-24_19-15-29.pngв пресс-службе прокуратуры Воронежской области.

По данным следствия, с помощью найденной в Сети инструкции молодой человек создал фишинговую страницу, имитирующую сервис Sony PlayStation. Таким образом он получал доступ к учетным данным и электронной почте пользователей, заходившим на мошенническую страницу, а затем редактировал и удалял данные жертв.

Преступник также использовал вредоносное ПО для хищения персональных данных пользователей сервиса Sony PlayStation. Под вымышленным именем молодой человек размещал на различных сайтах рекламные объявления о продаже похищенной персональной информации, а плату получал на созданный электронный кошелек.

Воронежец обвиняется в совершении двух преступлений, предусмотренных ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение компьютерной информации), а также преступления, предусмотренного ч. 2 ст. 273 УК РФ (распространение и использование компьютерной информации, заведомо предназначенной для несанкционированного копирования компьютерной информации, совершенные из корыстной заинтересованности).

Уголовное дело направлено в Центральный районный суд Воронежа для рассмотрения по существу. Обвиняемому грозит наказание до 5 лет лишения свободы.
Воронежец воровал данные пользователей Sony PlayStation
 

unbreakable

Модератор
Почти три четверти современных фишинговых сайтов используют SSL

Специалисты Anti-Phishing Working Group (APWG) проанализировали современные методы фишинга и привели интересные данные в своём новом отчёте, посвящённом этой киберугрозе. С октября по декабрь 2019 года число зафиксированных фишинговых сайтов снизилось в сравнении с летним периодом. Всего исследователи выявили 162 155 вредоносных ресурсов. В целом 2019 год, по мнению APWG, стал одним из самых опасных для пользователей Сети. Существенно увеличились случаи взлома корпоративной почты (BEC), в ходе которых злоумышленники пытаются получить данные сотрудников организаций, занимающих руководящие должности. В четвёртом квартале прошлого года фишеры использовали более 325 узнаваемых брендов в месяц. При этом чаще всего целями выступали электронная почта, платёжные сервисы, сайты банков. А фишинг в соцсетях за 2019 год вырос вообще вдвое. Помимо этого, одним из ключевых моментов отчёта APWG стал вопрос использования SSL-сертификатов в фишинговых атаках. По словам экспертов, число вредоносных сайтов, оснащённых такими сертификатами, заметно увеличилось. В итоге на сегодняшний день приблизительно три четверти выявленных фишинговых ресурсов используют защиту SSL. Это самая большая цифра, зафиксированная за период мониторинга.

Источник: Почти три четверти современных фишинговых сайтов используют SSL
 

unbreakable

Модератор
9Game — самый опасный магазин приложений для пользователей Android

Эксперты вычислили самый большой рассадник вредоносных программ для мобильной операционной системы Android. В 2019 году им стал магазин бесплатных игр, находящийся по адресу 9Game[.]com 9Game по праву получил первое место за наибольшее количество загрузок вредоносных программ. Также этот магазин держит бесспорное лидерство по общей концентрации зловредов. Согласно отчёту RiskIQ «Mobile App Threat Landscape», в 2019 году на площадке 9Game выложили 61 669 новых вредоносных приложений. Для сравнения можно привести количество вредоносов, загруженных в официальный магазин Google Play Store — 25 647. Помимо этих двух площадок, в пятёрку самых опасных магазинов приложений вошли: Qihoo 360 Zhushou, Feral и принадлежащий Huawei Vmall. Несмотря на второе место, которое досталось Play Store, стоит учитывать, что официальный магазин от Google в значительной степени нивелирует негативное воздействие вредоносных приложений на пользователей Android. Также обратите внимание, что по сосредоточению злонамеренного софта на одной площадке Play Store не попал даже в пятёрку. В этом случае рейтинг выглядит так: 9Game Feral App Store Vmall App Store Xiaomi App Store Qihoo 360 Zhushou

Источник: 9Game — самый опасный магазин приложений для пользователей Android
 

unbreakable

Модератор
Вымогательское ПО Ryuk освободило шестерых уголовников
Атака вымогательского ПО уничтожила доказательную базу, и с подозреваемых были сняты обвинения.


Прокуратуре штата Флорида пришлось отозвать 11 дел о производстве и торговле запрещенными веществами, возбужденных против шести подозреваемых, в связи с недостатком доказательств. В ходе расследования, длившегося в течение полутора лет, сотрудники полицейского управления города Стюарт собрали всю необходимую доказательную базу, однако она была уничтожена в результате заражения компьютерных сетей управления вымогательским ПО.

В апреле прошлого года полицейское управление Стюарта стало жертвой атаки нашумевшего вымогателя Ryuk, попавшего в компьютерные сети через фишинговое электронное письмо с вредоносной ссылкой. За расшифровку файлов киберпреступники требовали $300 тыс., но администрация города отказалась платить. В течение шести недель все 46 сотрудников полицейского управления писали отчеты по старинке – с помощью ручки и бумаги.

Полицейским удалось восстановить некоторые файлы из резервных копий, но фото- и видеодоказательства в 11 делах о сбыте запрещенных веществ были утеряны безвозвратно, сообщил детектив-сержант полиции Стюарта Майк Геруэн (Mike Gerwan) в интервью журналистам телеканала WPTV. В результате утери доказательств уголовные дела были отозваны, с шестерых подозреваемых сняты обвинения по 28 пунктам, а сами подозреваемые были отпущены на свободу.

Случившееся заставило полицейское управление использовать другой способ хранения вещественных доказательств, а городская администрация теперь активно проводит обучение правилам кибергигиены, в частности учит сотрудников распознавать фишинговые письма.
Вымогательское ПО Ryuk освободило шестерых уголовников
 

unbreakable

Модератор
Вымогательское ПО вынудило международную юркомпанию отключить свои системы
Крупная международная юридическая компания отключила компьютеры в 80 офисах в связи с атакой вымогательского ПО.


Крупная международная юридическая компания Epiq Global стала жертвой кибератаки с использованием вымогательского ПО. Согласно заявлению Epiq Global, консультирующей банки, крупные кредитные организации и правительства разных стран, инцидент имел место 29 февраля нынешнего года.

«В рамках нашего всеобъемлющего плана реагирования на инциденты в целях сдержать угрозу мы сразу же отключили свои системы по всему миру и начали работу со сторонней фирмой, занимающейся проведением криминалистической экспертизы, в рамках независимого расследования. Наша техническая команда тесно сотрудничает со сторонними экспертами мирового класса, чтобы решить эту проблему и максимально быстро вернуть наши системы в безопасное состояние» - говорится в заявлении компании.

По словам осведомленного источника, пожелавшего сохранить анонимность, компьютеры во всех 80 штаб-квартирах компании по всему миру были заражены вымогательским ПО. Согласно внутреннему распоряжению администрации Epiq Global, сотрудники компании не могут посещать офисы без одобрения руководства, пишет TechCrunch. В офисах работникам рекомендуется не подключать устройства к сети и отключать Wi-Fi на своих ноутбуках, не доезжая до парковки возле офисного здания.

По словам источника, корпоративные компьютеры работают под управлением устаревших версий Windows, и «нигде не установлены обновления».

О каком вымогательском ПО идет речь, источник не уточняет. По уверению Epiq Global, никаких свидетельств того, что данные были похищены, нет.

Вымогательское ПО вынудило международную юркомпанию отключить свои системы
 
Сверху